つみかさね

CVE-2026-6951

Critical(9.8)

CVE-2026-6951 — simple-git リモートコード実行

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
simple-gitsteveukx< 3.36.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1プロジェクトでsimple-gitを使用しているか確認する(npm ls simple-git)
  2. 23.36.0未満の場合はアップデートを実施する
  3. 3ユーザー入力がsimple-gitオプションに渡されていないか確認する

影響対象

simple-git利用プロジェクト

補足

  • -過去のCVE-2022-25912の修正が不完全だったため、以前対応済みでも再確認が必要
CVEsimple-gitnpmRCE

概要

npmパッケージ「simple-git」のバージョン3.36.0未満に、リモートコード実行(RCE)脆弱性が存在します。これは過去の脆弱性CVE-2022-25912に対する修正が不完全だったことに起因します。

以前の修正では -c オプションがブロックされましたが、同等の --config 形式はブロックされていませんでした。信頼されていない入力がsimple-gitのオプション引数に到達可能な場合、protocol.ext.allow=always を有効化し、ext::プロトコルのクローンソースを指定することで、任意のコード実行が可能です。

simple-gitはnpmで週間数百万ダウンロードを記録する広く利用されたパッケージであり、影響範囲は大きいと考えられます。

CVSSベクトル

指標
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベルなし
CWECWE-94(コードインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
simple-gitsteveukx3.36.0未満

修正バージョンと回避策

  • 修正: simple-git 3.36.0以降へアップデート
  • 回避策: ユーザー入力をsimple-gitのオプション引数に直接渡さないよう入力検証を実施

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2022-25912simple-git RCE(初回修正)CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-6951
GitHub:https://github.com/steveukx/git-js/commit/89a2294febed5dfe737c4c735d936bb6018746a8
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。